Les utilisateurs de GitHub sont ciblés par des logiciels malveillants (s’ouvre dans un nouvel onglet) des copies de référentiels légitimes, a récemment découvert un chercheur en cybersécurité.
S’attaquant aux développeurs qui manquent de temps, sont téméraires ou simplement surchargés de travail, quelqu’un a copié des projets GitHub officiels tels que crypto, golang, python, js, bash, docker, k8s, en leur donnant des noms similaires aux projets originaux, et légèrement les altérant de manière à ce qu’ils contiennent du code malveillant.
Le plan astucieux a été repéré pour la première fois par le développeur de logiciels Stephen Lacy, qui après avoir examiné un projet open source, a remarqué une URL malveillante cachée à l’intérieur. Une recherche rapide via GitHub a rapidement établi que plus de 35 000 référentiels portaient la même URL.
Dépôts d’origine intacts
Un autre développeur, James Tucker, a en outre découvert que les référentiels étaient conçus pour siphonner les variables d’environnement utilisateur, voler des clés API, des jetons, des clés de chiffrement, mais également exécuter du code arbitraire sur les terminaux concernés. (s’ouvre dans un nouvel onglet).
Ce type d’informations peut être utilisé dans des attaques d’usurpation d’identité ou des rançongiciels (s’ouvre dans un nouvel onglet) campagnes.
GitHub a depuis supprimé les dépôts malveillants et a publié une courte déclaration via Twitter, disant : « GitHub enquête sur le Tweet publié le mercredi 3 août 2022. Aucun dépôt n’a été compromis. Du code malveillant a été publié sur des référentiels clonés, et non sur les référentiels eux-mêmes. Les clones ont été mis en quarantaine et il n’y a eu aucune compromission évidente des comptes GitHub ou du responsable.
Alors que la majorité des modifications de code malveillant ont été apportées au cours des deux derniers mois, certaines remontent à sept ans.
GitHub est l’un des plus grands référentiels de code open source au monde et, à ce titre, fréquemment ciblé. Il est conseillé aux développeurs de toujours redoubler de prudence lors de l’extraction du code de la plate-forme, de faire attention aux typosquats potentiels ou aux copies, clones ou forks du référentiel.
Une façon de s’assurer qu’ils regardent le code légitime est de rechercher des commits de code signés avec les clés GPG des auteurs du projet, conclut la publication.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)